# AN0148 — Analytic 0148 ## Descrição Detecta entrega de comunicação interna suspeita via clientes de e-mail Linux como Thunderbird ou Evolution, originada de contas internas comprometidas, com sequência de atividade inesperada do usuário, logs de transferência de e-mail e download ou execução de anexos. A telemetria abrange logs do servidor de e-mail (Postfix/Sendmail) para rastrear envios internos, auditd para monitorar download e execução de arquivos de anexo, e correlação com atividade de login anômala da conta remetente. Este analítico detecta spear-phishing interno em ambientes Linux corporativos, onde adversários com acesso a contas de e-mail comprometidas enviam mensagens maliciosas a colegas para expandir seu alcance dentro da organização. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1534-internal-spearphishing|T1534 — Internal Spearphishing]] - [[t1566-phishing|T1566 — Phishing]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1204-user-execution|T1204 — User Execution]] --- *Fonte: [MITRE ATT&CK — AN0148](https://attack.mitre.org/detectionstrategies/DET0054#AN0148)*